SparkKitty: Kripto Cüzdanları Tehlikede
Mobil aygıtlara yönelik siber akınlar sürat kesmeden devam ederken, SparkKitty isminde yeni ve sofistike bir ziyanlı yazılımın ortaya çıkması, kripto cüzdan kullanıcılarını alarma geçirdi. Kaspersky’nin ortaya koyduğu bu yeni tehdit, bilhassa seed phrase ekran imgelerini maksat alıyor ve iOS ile Android aygıtlara yönelik organize bir akın stratejisi izliyor.
Masum Görünümlü Uygulamalarla Yayılıyor
SparkKitty, ziyanlı kodlarını taşınabilir uygulamalara gizleyerek yayılıyor. Kullanıcılar, TikTok’un modifiye edilmiş versiyonları, yatırım uygulamaları ya da portföy takip araçları üzere görünen bu uygulamaları indiriyor. Bu yazılımlar, “fotoğraf galerisi erişimi” müsaadesi alarak aygıtlarda kayıtlı kripto cüzdan yedeklerinin ekran manzaralarına ulaşabiliyor.
İki örnek uygulama dikkat çekiyor:
-
Soex Wallet Tracker – Google Play üzerinden binlerce kere indirildi.
-
Coin Wallet Pro – Geçersiz çoklu zincir cüzdan uygulaması olarak pazarlandı.
Güvenlik Pürüzlerini Nasıl Aşıyor?
SparkKitty, hem iOS hem de Android sistemlerini aşacak seviyede karmaşık prosedürler kullanıyor:
-
iOS tarafında, ziyanlı yazılım, yasal framework’ler (örneğin AFNetworking) üzerinde yapılan değişikliklerle sisteme entegre ediliyor. Apple’ın kurumsal uygulama dağıtım profili sistemini kullanarak App Store kontrollerinden kaçmayı başarıyor.
-
Android tarafında ise direkt uygulama giriş noktalarına ziyanlı kod yerleştiriliyor. Yasal üzere görünen içeriklerle kullanıcıların inancı kazanılıyor.
OCR Teknolojisi ile Görselleri Okuyor
SparkKitty, entegre optik karakter tanıma (OCR) teknolojisiyle öne çıkıyor. Bu sistem, ekran imajlarındaki metinleri tarıyor ve seed phrase, özel anahtar ya da cüzdan adresi içerenleri direkt saldırganların sunucusuna gönderiyor.
Bu prosedür, evvelki ziyanlı yazılımlardan farklı olarak manuel incelemeye muhtaçlık duymadan daha süratli ve tesirli bilgi çalma imkânı sunmakta. Google’ın ML Kit kütüphanesini kullanan bu sistem, görsellerdeki içerikleri metin olarak algılayarak gayeli bilgi hırsızlığı yapıyor.
SparkKitty sırf görsel bilgiyle yetinmiyor. Birtakım sürümlerinde toplumsal mühendislik teknikleri de görülmekte. Örneğin, kullanıcıya “12 saat içinde seed phrase’inizi yedeklemezseniz erişiminizi kaybedebilirsiniz” formunda uydurma ikazlar gösteriliyor. Bu sayede kullanıcılar şahsen kendi kritik bilgilerini açığa çıkarıyor.
SparkKitty’nin gelişmiş sürümleri, yalnızca bilgi çalmıyor. Aygıtları Monero üzere kripto paraları müsaadesiz madencilik için de kullanıyor. Kaspersky, bu hücumların Librarian Ghouls üzere gelişmiş siber tehdit kümeleriyle irtibatlı olduğunu belirtiyor.
Ne Yapmalı?
SparkKitty, kripto kullanıcıları için yeni bir tehlikeyi ortaya koydu. Galeriye kaydedilen ekran imajları önemli risk taşıyor. Seed phrase üzere yedeklerinizi yazılı olarak saklayın. Tanımadığınız uygulamalardan uzak durun. Uygulama müsaadelerini, bilhassa galeri erişimini, kesinlikle denetim edin.
Mobil aygıtınız bir finansal araç haline geldiğinde, dijital hijyen hayati değer taşır.
